Une nouvelle attaque de phishing visant Paypal a été identifiée. Elle tente d’obtenir un grand nombre d’informations personnelles de ses victimes en se faisant passer pour une alerte de sécurité PayPal.
Les e-mails semblent avoir été envoyés depuis le centre de notification de PayPal et avertissent les utilisateurs que leurs comptes ont été temporairement bloqués en raison d’une tentative de connexion depuis un navigateur ou un appareil précédemment inconnu.
Les e-mails comprennent un lien hypertexte sur lequel les utilisateurs sont invités à cliquer pour se connecter à PayPal afin de vérifier leur identité. Un bouton est inclus dans l’e-mail et les utilisateurs sont invités à cliquer sur « Sécuriser et mettre à jour mon compte maintenant ! ». Le lien hypertexte est une adresse bit.ly abrégée, qui dirige la victime vers une page PayPal usurpée sur un domaine contrôlé par un attaquant.
Après avoir saisi les informations d’identification de son compte PayPal, les pirates invite la victime à saisir une série d’informations sensibles pour vérifier son identité dans le cadre d’un contrôle de sécurité PayPal. Ces informations doivent être saisies pour déverrouiller le compte et la liste des étapes est détaillée sur la page.
Tout d’abord, les pirates demandent le nom complet de l’utilisateur, son adresse de facturation et son numéro de téléphone. Ensuite, la victime doit confirmer les détails complets de sa carte de crédit/débit. La page suivante demande sa date de naissance, son numéro de sécurité sociale, son numéro de guichet automatique ou de carte de débit.
Enfin, la victime est tenue de télécharger une pièce d’identité, qui doit être soit une numérisation d’une carte de crédit, d’un passeport, d’un permis de conduire ou d’une pièce d’identité avec sa photo.
Cette escroquerie de phishing de PayPal vise à obtenir une grande quantité d’informations. Ceci devrait permettre à la victime de reconnaître que l’avertissement que tout n’est pas ce qu’il paraît. Il peut, par exemple, s’agir d’une demande de saisie d’informations très sensibles telles qu’un numéro de sécurité sociale ou un code PIN.
L’e-mail contient également d’autres signes d’avertissement qui pourraient indiquer que la demande n’est pas légitime. Entre autres, il n’est pas envoyé depuis un domaine associé à PayPal et son contenu commence par une phrase du type « Bonjour cher client », plutôt que par le nom du titulaire du compte. A la fin du message, le message indique à l’utilisateur de marquer l’expéditeur sur sa liste blanche si l’e-mail a été livré dans son dossier spam.
L’une des tactiques utilisées par les pirates est également de rédiger le message de manière à encourager le destinataire à agir rapidement pour éviter toute perte financière. Comme pour les autres escroqueries de phishing de PayPal, de nombreux utilisateurs sont susceptibles d’être amenés à divulguer au moins une partie de leurs informations personnelles.
Les consommateurs doivent toujours faire preuve de prudence et ne devraient jamais répondre immédiatement à un e-mail qui les avertit d’une faille de sécurité. Ils devraient plutôt s’arrêter et réfléchir avant d’agir, et vérifier soigneusement l’expéditeur de l’e-mail, puis lire très attentivement le message.
Pour vérifier si le message est vraiment légitime, il est recommandé de vous rendre directement sur le site web officiel de PayPal en tapant l’URL correcte dans la barre d’adresse de votre navigateur. Pour finir, n’utilisez jamais les URL qui figurent dans les e-mails.
Emotet est la plus grande menace de malwares à laquelle sont confrontées les entreprises et l’activité a considérablement augmenté ces dernières semaines, après une accalmie en décembre.
Plusieurs nouvelles campagnes sont désormais identifiées chaque semaine, dont la plupart ciblent les entreprises. L’une des campagnes les plus récentes utilise une technique éprouvée pour installer le cheval de Troie Emotet. Il s’agit de documents Word malveillants qui se font passer pour des factures, des devis, des renouvellements et des coordonnées bancaires.
La campagne cible principalement des organisations aux États-Unis et au Royaume-Uni, bien que des attaques aient également été détectées en Inde, en Espagne et aux Philippines. Environ 90% des e-mails de phishing d’Emotet ciblent les services financiers, et environ 8 % des attaques visent des entreprises de l’industrie alimentaire et des boissons.
Les documents Word malveillants sont soit joints aux e-mails, soit des hyperliens inclus dans les messages et qui dirigent la victime vers un site web compromis où le document Word est téléchargé. Les sites web utilisés sont fréquemment modifiés et de nouvelles variantes d’Emotet sont fréquemment publiées pour empêcher leur détection. Les solutions de sécurité de la messagerie électronique qui s’appuient sur des moteurs antivirus pour détecter les malwares ont peu de chances de détecter ces menaces du type « zero day ».
Comme Emotet est un botnet massif, les e-mails qui le propagent proviennent de nombreuses sources différentes. Les solutions de sécurité de la messagerie électronique qui s’appuient sur des listes noires en temps réel ont également peu de chances de détecter ces sources comme étant malveillantes.
Emotet est principalement distribué via la messagerie électronique à partir d’appareils infectés, mais une autre méthode de distribution a récemment été identifiée. Le Cheval de Troie se propage également via les réseaux Wi-Fi. Cette méthode est utilisée depuis près de deux ans, mais elle vient seulement d’être détectée par les chercheurs en sécurité de Binary Defense.
Lorsqu’Emotet est installé, un fichier binaire worm.exe s’exécute automatiquement. Il tente de se connecter à des réseaux quasi Wi-Fi et force les mots de passe faibles. Une fois connecté à un réseau Wi-Fi, il recherche des fichiers partagés et non cachés sur le réseau.
Puis, il tente de recenser tous les utilisateurs connectés au réseau Wi-Fi pour permettre au pirate de lancer une attaque de phishing.
Comment bloquer Emotet ?
Les pirates ne cessent de développer de nouvelles tactiques pour rendre la détection Emotet de plus en plus difficile et il n’existe pas de solution unique pouvant assurer une protection contre toutes les formes d’attaque. Ce qu’il faut, c’est une approche de défense en profondeur et des défenses multicouches.
La principale défense contre Emotet est essentiellement basée sur la messagerie électronique, ainsi qu’une solution avancée de filtrage du spam. De nombreuses entreprises utilisent Office 365 et s’appuient sur la protection fournie par Exchange Online Protection (EOP), qui est incluse en standard dans les licences Office 365.
Mais EOP, à elle seule, ne peut pas fournir une protection suffisante contre Emotet. EOP peut bloquer toutes les menaces de malwares connues, mais il peine à identifier les attaques de type « zero day ». Pour ce faire, il faut également adopter d’autres méthodes de détection plus avancées.
SpamTitan a été développé pour fonctionner de manière transparente avec EOP afin de protéger la messagerie électronique d’Office 365 contre les menaces du type « zero day ». Cette solution utilise une variété de techniques pour identifier les différentes formes d’attaques d’Emotet, y compris deux antivirus capables de bloquer les variantes connues d’Emotet. Elle intègre également une fonction de sandboxing pour bloquer les attaques du type « zero day ». Les pièces jointes suspectes ou inconnues sont envoyées dans la sandbox où elles sont soumises à une analyse approfondie pour identifier les actions malveillantes.
En outre, SpamTitan peut analyser les e-mails sortants dans le but d’identifier les tentatives de diffusion d’Emotet à partir d’une machine déjà infectée.
A ceux-ci s’ajoute la DMARC, une fonction qui permet d’identifier les tentatives d’usurpation d’identité et de domaine, lesquelles sont couramment utilisées par les pirates pour diffuser Emotet.
Pour assurer la protection contre les attaques basées sur le web – y compris les e-mails d’Emotet qui utilisent des hyperliens malveillants plutôt que des pièces jointes -une autre couche de sécurité doit être ajoutée pour mieux protéger votre organisation des attaques cybercriminelles. Il s’agit d’une solution de filtrage DNS, telle que WebTitan.
WebTitan utilise la détection des menaces par URL en temps réel, grâce à une base de données alimentée par 650 millions d’utilisateurs. La base de données en temps réel comprend plus de 3 millions d’URL et d’adresses IP malveillantes. Chaque jour, environ 100 000 nouvelles URL malveillantes sont détectées et bloquées.
WebTitan comprend également la catégorisation et la détection en temps réel des domaines, des URL et des IP malveillants, avec des mises à jour à la minute près pour bloquer les nouvelles sources malveillantes. Dès qu’une URL est identifiée comme pouvant distribuer Emotet (ou d’autres malwares), elle est bloquée par WebTitan.
WebTitan effectue également une analyse des liens et des contenus web, une analyse statique, heuristique et des anomalies de comportement. Cette solution intègre plusieurs outils et pour protéger les utilisateurs contre les menaces du web.
Enfin, vous devriez également ces autres mesures pour faire face à la menace d’Emotet :
Désactiver les macros dans toute l’organisation
Veiller à ce que les systèmes d’exploitation soient tenus à jour et à ce que les vulnérabilités soient rapidement corrigées.
Définir des mots de passe forts pour contrecarrer les attaques par la force brute
Veiller à ce que les solutions de protection des points d’accès soient déployées sur tous les appareils
Fournir une formation de sensibilisation à la sécurité à vos employés
Effectuer des exercices de simulation de phishing pour identifier les employés qui ont besoin d’une formation complémentaire.
La saison des impôts est maintenant en cours aux USA et les escrocs qui compromettent les e-mails d’affaires ont intensifié leurs efforts pour obtenir des formulaires W-2. Il s’agit de documents envoyés par les employeurs et qui donnent les détails concernant les revenus imposables de leurs employés et le montant de chaque taxe retenue à la source. Les pirates font cela dans le but d’effectuer une fraude fiscale.
Les attaques de ce type commencent souvent par des e-mails de phishing ciblant le PDG et les membres du conseil d’administration d’une société. Une fois que les pirates réussissent à obtenir les références des e-mails de ces hauts responsables, ils peuvent alors accéder à leurs comptes et envoyer des e-mails au service de la paie et au service des ressources humaines pour demander les formulaires W-2 des employés ayant travaillé au cours de l’année fiscale précédente.
Les escrocs ciblent les entreprises, car le potentiel de profit est bien plus important que celui obtenu via des attaques contre les contribuables individuels.
Toutefois, les consommateurs doivent également se méfier des escroqueries de phishing liées à l’IRS, l’agence du gouvernement fédéral des États-Unis qui collecte l’impôt sur le revenu et sur les taxes diverses.
Cette période de l’année voit une augmentation des escroqueries de phishing de l’IRS. Les escrocs se font passer pour un responsable de l’agence et envoient des e-mails informant les contribuables qu’un remboursement d’impôt est dû et que des demandes sont envoyées pour des impôts impayés, avec la menace de conséquences désastreuses si des mesures ne sont pas prises rapidement pour régler le problème.
Les progrès réalisés en matière de sécurité de la messagerie électronique ont obligé les cybercriminels à faire preuve de créativité, car il est plus difficile de faire passer des e-mails de phishing en douce au-delà des défenses électroniques.
Les escroqueries de phishing sont désormais couramment initiées par SMS, par e-mail et par téléphone. Une campagne a déjà été identifiée, lors de laquelle les consommateurs ont été ciblés par des appels anonymes.
Ces appels avertissent que les numéros de sécurité sociale des victimes ont été suspendus après la détection d’une activité suspecte.
Si un grand nombre de ces escroqueries visent à obtenir des informations personnelles, d’autres sont menées pour diffuser des malwares.
Le groupe qui a propagé le cheval de Troie Emotet est l’un des groupes de menace qui a commencé ses escroqueries fiscales au début de cette année.
Ladite campagne est actuellement menée en utilisant des e-mails contenant de faux formulaires W-9. À noter que les formulaires W-9 signés sont demandés par les entreprises à leurs entrepreneurs s’ils ont été payés plus de 560 dollars au cours de l’année fiscale.
De nombreuses entreprises ont demandé à leurs sous-traitants de signer des formulaires W-9 pour confirmer leurs adresses et leurs numéros d’identification fiscale via des e-mails.
Dans le cadre d’une attaque récente, les pirates ont utilisé des e-mails courts et directs dans le but de diffuser le cheval de Troie Emotet. Le message disait : « Merci pour votre aide. Veuillez consulter le fichier joint ».
Les e-mails comprennent une pièce jointe en format Word nommée W-9.doc. Une fois que la victime ouvre le document, le logo d’Office 365 s’affiche avec un texte indiquant qu’il a été créé dans OpenOffice et que l’utilisateur doit activer la modification et le contenu.
En faisant cela, la victime de l’attaque déclenche le téléchargement le cheval de Troie Emotet, sans le savoir.
Ce n’est là qu’un exemple de message lié à la fiscalité qui a été utilisé par le gang derrière Emotet. Il est probable que de nombreuses autres variantes seront envoyées au cours des prochaines semaines. D’autres cybercriminels mèneront également leurs propres campagnes de phishing sur le thème de la fiscalité pour diffuser différentes variantes de malwares et de ransomwares.
Les entreprises, les préparateurs de déclarations de revenus et les consommateurs doivent être très vigilants pendant la période fiscale pour éviter les escroqueries de phishing et les e-mails diffusant des malwares.
Le moment est venu pour les entreprises de revoir leurs moyens de défense en matière de cybersécurité et de renforcer leur protection contre le phishing et les attaques de malwares. Si vous utilisez Office 365 et que vous vous fiez aux protections contre le phishing intégrées dans ce logiciel, vous devriez envisager de renforcer votre protection contre le phishing et les malwares avec un filtre anti-spam tiers. Plus précisément, vous avez besoin d’un filtre qui possède des capacités supérieures pour mieux détecter les malwares.
C’est un domaine dans lequel TitanHQ peut vous aider. SpamTitan utilise une variété de techniques avancées pour détecter et bloquer les menaces de phishing et les malwares de type « zero day », y compris une « sandbox » où les pièces jointes inconnues et suspectes des e-mails sont soumises à une analyse approfondie.
Appelez l’équipe de TitanHQ pour en savoir plus sur SpamTitan, une solution qui améliore la protection contre les malwares et le phishing d’Office 365. Vous pouvez également découvrir comment fonctionne cette solution à travers un essai gratuit de SpamTitan.
En attendant, prenez des mesures pour alerter vos employés sur les escroqueries de phishing pendant la période fiscale et préparez-les au scenario lors duquel un e-mail de phishing arriverait dans leur boîte de réception. Envoyez leur un e-mail d’alerte pour qu’ils sachent identifier la menace d’escroquerie pendant la période fiscale et comment empêcher une coûteuse attaque de phishing ou une infection par un malware.
Il est bien connu que les entreprises perdent beaucoup de temps à traiter le spam et on ne peut nier la menace que représentent les emails de spam malveillants (malspam), mais ce n’est pas seulement un problème pour les grandes entreprises. Le spam dans le milieu universitaire est également un problème majeur.
Une étude récente publiée dans la revue Scientometrics explore le coût du spam dans les universités. L’étude s’est principalement intéressée aux courriels de spam envoyés par de nouvelles revues non évaluées par des pairs qui tentent de gagner une part de marché. Ces revues adoptent les mêmes tactiques de spam souvent utilisées par les escrocs pour vendre des montres bon marché, des médicaments à prix réduit, et pour le phishing et la diffusion de logiciels malveillants.
Trois chercheurs – Jaime A. Teixeira da Silva, Aceil Al-Khatib et Panagiotis Tsigaria – ont tenté de quantifier le temps perdu à traiter ces messages et les pertes qui en résultent.
Pour évaluer l’ampleur du problème, les chercheurs ont utilisé les chiffres de plusieurs études sur le spam afin d’obtenir le nombre moyen de courriels de spam ciblés que les universitaires reçoivent chaque jour. Ils ont opté pour un chiffre conservateur de 4 à 5 messages par jour et par universitaire.
La plupart de ces messages ne prennent que quelques secondes pour être ouverts et lus, mais ce temps s’accumule. Ils ont supposé un temps moyen de 5 secondes par message, soit moins d’une demi-minute par jour. Cela équivaut à 100 dollars par chercheur, par an, à un taux horaire moyen de 50 dollars.
En utilisant l’estimation des Nations Unies sur le nombre de chercheurs dans le monde universitaire, le coût total mondial du spam dans le monde universitaire a été estimé à 1,1 milliard de dollars par an.
Ce chiffre est basé sur le seul temps perdu et ne tient pas compte des courriers électroniques non ciblés – des courriers électroniques non sollicités en masse qui ne ciblent pas spécifiquement les chercheurs. Si l’on ajoute le temps passé à traiter ces messages, le coût global atteint 2,6 milliards de dollars par an.
Pour mettre ce coût en perspective, 2,6 millions de dollars sont bien plus que le temps que les chercheurs consacrent à l’examen par les pairs, dont le coût a été estimé à 1,9 milliard de dollars par an. Ces chiffres ne tiennent pas compte des pertes considérables dues au phishing, aux logiciels malveillants et aux attaques de ransomware.
Si l’on tient compte de ces coûts, les pertes seraient plusieurs fois plus élevées.
Le co-auteur de l’étude, Panagiotis Tsigaris, professeur d’économie à l’université Thompson Rivers au Canada, a expliqué qu’il n’existait pas de solution miracle pour lutter contre le spam et a suggéré plusieurs moyens de réduire le coût du spam dans le monde universitaire.
M. Tsigaris suggère d’augmenter les peines pour publication dans des revues prédatrices, d’informer les universitaires sur le spam et d’améliorer la technologie de filtrage du courrier électronique.
Ici, chez TitanHQ, nous sommes bien conscients du problème du spam, tant en termes de pertes de productivité qu’il entraîne que de dommages causés par les courriels de spam malveillants.
Pour aider à prévenir les pertes et les temps d’arrêt dus au spam et aux menaces basées sur le courrier électronique, TitanHQ a mis au point une solution de filtrage du spam puissante, facile à utiliser et rentable, basée sur le cloud, appelée SpamTitan.
SpamTitan a été testé de manière indépendante et il a été démontré qu’il bloque plus de 99,9 % des courriers électroniques non sollicités, 100 % des menaces connues de logiciels malveillants et de ransomwares.
Grâce à une série de mesures de détection et de sandboxing, SpamTitan est également efficace pour bloquer les menaces de logiciels malveillants et de logiciels contre rançon de type « zero-day » (nouveaux).
Pour en savoir plus sur SpamTitan et sur la façon dont vous pouvez bloquer davantage de spams et vous assurer que les courriels malveillants n’atteignent pas les boîtes de réception de vos chercheurs, appelez l’équipe du TitanHQ dès aujourd’hui.
Un nouveau rapport du Centre de plaintes pour les crimes sur l’Internet (IC3) du FBI a révélé l’ampleur des attaques de phishing qui ciblent les entreprises et des pertes énormes qui ont résulté d’une autre forme d’attaque lancée par e-mail : la fraude au président, ou attaque BEC (Business Email Compromise)
En 2019, l’IC3 a reçu 467 361 plaintes concernant la cybercriminalité et les pertes signalées ont dépassé les 3 milliards d’euros, contre environ 2,3 milliards d’euros en 2018. Les pertes réelles et le nombre d’attaques seront bien plus élevés, car tous les crimes et pertes ne sont pas signalés.
Les attaques de phishing, de smishing et de pharming – une technique de piratage informatique qui exploite les vulnérabilités des services DNS – sont les types de crimes les plus répandus, avec 114 702 plaintes déposées auprès de l’IC3 en 2019. Ces attaques ont entraîné des pertes de plus de 50 millions d’euros.
Il y a eu 23 775 plaintes concernant les attaques du type BEC, et les pertes dues à ces attaques étaient estimées à plus de 1,65 milliards d’euros. En moyenne, les attaques du type BEC entraînent des pertes d’environ 66 000 euros et ces attaques ont représenté 50,75 % de toutes les pertes dues à la cybercriminalité en 2019.
Les attaques d’escroquerie à la compromission d’e-mails d’affaires, ou arnaque au président, impliquent l’usurpation de l’identité d’une personne ou d’une entreprise connue et une fausse facture, ainsi qu’une demande de virement bancaire frauduleuse. Il peut également s’agir de modifications des coordonnées bancaires d’un vendeur, de demandes ou de modifications de comptes de dépôt direct des employés. Ces attaques impliquent l’usurpation d’un compte de messagerie électronique qui est généralement réalisée au moyen des e-mails de phishing.
La messagerie électronique peut également être utilisée pour livrer des ransomwares. L’IC3 a par exemple enrégistré 2 0417 incidents de ce genre qui ont entraîné des pertes de plus de 7,8 millions d’euros. En ce qui concerne les attaques de malwares et de virus, l’IC3 a également enregistré 2 373 incidents, impliquant des pertes de plus de 1,7 millions d’euros.
L’importance d’une approche à plusieurs niveaux pour la sécurité de la messagerie électronique
Comme le montre le rapport IC3 2019 sur le coût de la cybercriminalité, le vecteur d’attaque le plus courant est la messagerie électronique. Comment les propriétaires d’entreprises peuvent-ils donc se protéger contre les attaques par e-mails ?
Les entreprises peuvent soit acheter directement des solutions de cybersécurité, soit faire appel à un fournisseur de services managés (MSP) pour s’occuper de la cybersécurité. Si la décision est prise de gérer la cybersécurité en interne, il est essentiel d’adopter une stratégie de défense en profondeur et de mettre en place plusieurs niveaux de protection.
Si une solution de cybersécurité ne parvient pas à bloquer une menace, d’autres couches empêcheront les attaques lancées via le web de réussir.
De nombreuses entreprises ont adopté Office 365 et l’utilisent pour la messagerie électronique. Microsoft inclut un niveau de base de protection des e-mails pour Office 365 en standard : la protection en ligne d’Exchange (EOP ou Exchange Online Protection).
L’EOP constitue la première couche de protection contre les attaques de phishing, les malwares et le spam, mais l’EOP ne suffit pas à elle seule à bloquer les attaques de phishing sophistiquées, les attaques BEC et les menaces de malwares du type « zero day ».
Une couche de protection supplémentaire est donc nécessaire.
Protection avancée contre le phishing et les attaques BEC ou arnaques au président
TitanHQ a développé une solution antispam avancée – SpamTitan – qui fournit une couche de protection supplémentaire contre les menaces lancées via la messagerie électronique.
Pour se protéger contre les menaces de malwares connus, TitanHQ utilise un double anti-virus. Toutefois, de nouvelles variantes de malwares sont constamment mises sur le marché. Avant que les moteurs antivirus puissent bloquer les nouvelles menaces, celles-ci doivent être identifiées et la signature des malware est alors ajoutée aux définitions de virus du moteur antivirus. En attendant, les menaces ne seront pas identifiées comme malveillantes et seront transmises dans les boîtes de réception de vos employés.
Pour améliorer la protection contre les menaces du type « zero day », TitanHQ utilise le sandboxing. Lorsqu’une pièce jointe suspecte ou inconnue est reçue, elle est envoyée dans la sandbox où elle est soumise à une analyse approfondie pour identifier les rappels du centre de commande et de contrôle et les actions potentiellement malveillantes.
Les comptes Office 365 sont ciblés par les cybercriminels et leurs nouvelles campagnes de phishing sont testées par rapport aux protections d’Office 365 pour s’assurer que les e-mails sont bien délivrés.
Une étude précédente a montré que 25 % des e-mails de phishing sont envoyés dans les boîtes de réception d’Office 365.
Pour s’assurer de la détection des menaces de phishing qui ne seraient pas autrement bloquées par l’EOP, SpamTitan utilise une série de techniques de détection avancées :
Multiples listes de trous noirs en temps réel et des flux de renseignements sur les menaces
Analyse de messages à plusieurs niveaux
SURBL (des listes de sites web qui sont apparus dans des messages non sollicités)
Analyse bayésienne
Greylisting
Etc.
La protection contre les attaques par usurpation d’identité et l’usurpation d’identité via les e-mails est assurée par le Sender Policy Framework et la DMARC
Tous les e-mails sortants sont scannés pour identifier les compromissions potentielles des comptes de messagerie électronique.
SpamTitan est une solution de sécurité complète qui protège votre entreprise, vos employés et vos clients contre les attaques lancées via les e-mails. Avec SpamTitan, vous pouvez adopter une approche par couches pour la sécurité des e-mails à un coût très faible par utilisateur.
Si vous voulez vous assurer que votre entreprise soit protégée contre les coûteuses attaques lancées via les e-mails, appelez l’équipe de TitanHQ dès aujourd’hui.
